التقاط الأدلة المتطايرة
تحتوي ذاكرة الوصول العشوائي (RAM) على بيانات متطايرة تُمسح عند انقطاع التيار الكهربائي، ولكنها تحمل أدلة حاسمة أثناء الحادث، خاصة للبرمجيات الخبيثة التي لا تعتمد على ملفات وتعمل في الذاكرة فقط.
ماذا يوجد في RAM؟
- مفاتيح فك التشفير ومفاتيح الجلسات.
- كلمات مرور بنص صريح تم استخدامها مؤخراً.
- العمليات الجارية واتصالات الشبكة.
- أدلة على وجود rootkits أو كود محقون.
الاستحواذ على الذاكرة
يتطلب ذلك تشغيل أدوات متخصصة (مثل DumpIt أو FTK Imager Lite) على النظام الذي يعمل لتفريغ كامل محتويات الرام في ملف قبل إغلاق الجهاز.
تحليل الذاكرة (أداة Volatility)
يعد Volatility Framework أداة متقدمة مفتوحة المصدر تستخدم لتحليل صور الذاكرة. تتيح للمحققين استخراج العمليات الجارية، وسوكتات الشبكة، وتاريخ الأوامر النشطة، وهاشات كلمات المرور من ملف الـ RAM الملتقط.